Сертификат AM Test Lab
Номер сертификата: 340
Дата выдачи: 18.05.2021
Срок действия: 18.05.2026
- Введение
- Функциональные возможности «КриптоПро Архива»
- Архитектура «КриптоПро Архива»
- Системные требования «КриптоПро Архива»
- Порядок развёртывания «КриптоПро Архива»
- Применение «КриптоПро Архива»
- 6.1. Загрузка документа
- 6.2. Список документов
- 6.3. Список информационных систем
- 6.4. Мониторинг работы системы
- 6.5. Коллизии
- Выводы
Введение
Согласно федеральному закону № 63 «Об электронной подписи» квалифицированная электронная подпись признаётся действительной при одновременном соблюдении ряда условий: квалифицированный сертификат должен быть создан и выдан аккредитованным удостоверяющим центром, а также действителен на момент подписания (при наличии достоверной информации о моменте подписания) или на день проверки действительности сертификата, если момент подписания не определён; кроме того, должен иметься положительный результат проверки электронной подписи.
Таким образом, если пользователь хочет проверить электронную подпись (ЭП) в момент действия сертификата (часто сертификат подписи действителен в течение 15 месяцев с момента подписания), то дополнительных доказательств не требуется. Если же пользователю необходимо долговременно хранить подписанный документ, то для признания ЭП действительной требуется наличие достоверной информации о моменте подписания.
Для реализации этого требования компания «КриптоПро» разработала новое решение «КриптоПро Архив». Этот программный комплекс обеспечивает юридическую значимость долговременно хранящихся подписанных документов за счёт поддержания ЭП в актуальном состоянии.
Важно отметить, что продукт не конкурирует с существующими системами электронного документооборота, а расширяет их возможности.
Далее мы подробно рассмотрим функции «КриптоПро Архива».
Функциональные возможности «КриптоПро Архива»
Подготовка ЭП документов к хранению
Одной из основных функций решения является хранение информации о подписанных документах. При этом учётной единицей электронных документов является контейнер, который состоит из ЭП, хеш-значения документа и его метаданных.
«КриптоПро Архив» принимает документ и его подпись от интегрированных внешних информационных систем (чаще всего — систем электронного документооборота), осуществляет проверку электронной подписи и, если результат проверки положителен, помещает контейнер документа на временное или постоянное хранение. Система документооборота может периодически запрашивать контейнер или подпись документа.
Таким образом, «КриптоПро Архив» обеспечивает:
- проверку ЭП, которые используются для подписания документов;
- временное и постоянное централизованное хранение контейнеров;
- обмен контейнерами электронных документов со внешними информационными системами.
Усовершенствование ЭП
Важной функцией «КриптоПро Архива» является усовершенствование электронной подписи до формата CAdES-E-A.
CAdES (Cryptographic Message Syntax Advanced Electronic Signatures) — это стандарт ЭП, представляющий собой расширенную версию стандарта электронной подписи CMS. В стандарте определены несколько форматов ЭП, различающихся по возможностям защиты: CAdES-BES, CAdES-T, CAdES-С, CAdES-X, CAdES-XLT1, CAdES-A, где каждый последующий формат включает в себя и расширяет предыдущий.
«КриптоПро Архив» обеспечивает преобразование исходной ЭП документов в формат CAdES-E-A, сформированный на основе CAdES-XLT1 путём добавления дополнительных атрибутов — архивных штампов времени. Периодическое добавление архивных штампов к подписи позволяет обеспечить возможность её проверки и юридическую значимость в течение длительного периода времени (более 15 лет).
Контроль сроков действия доказательств юридической значимости
Также продукт поддерживает мониторинг сроков действия доказательств юридической значимости документов при их хранении и автоматическое обновление этих сроков. Данная функция обеспечивается следующим образом: автоматически контролируются сроки истечения последнего сертификата службы штампа времени и по мере необходимости в существующую подпись добавляются новые штампы.
Архитектура «КриптоПро Архива»
Программный комплекс состоит из трёх основных компонентов: модуля обработки ЭП документов, модуля обеспечения доказательствами подлинности и АРМ администратора.
Каждый компонент поддерживает горизонтальное масштабирование в случае возрастания нагрузки.
Для создания / усовершенствования электронной подписи документа «КриптоПро Архив» осуществляет взаимодействие с программно-аппаратным комплексом (ПАК) «Службы УЦ».
Рисунок 1. Функциональная схема «КриптоПро Архива»
Модуль обработки ЭП документов
Принимает на вход, передаёт, хранит контейнеры электронных документов и управляет ими, а также обеспечивает интеграцию с несколькими внешними информационными системами, приём документов из информационной системы как напрямую, так и по ссылке, поиск информации о контейнерах по метаданным, передачу ЭП в формате CAdES-E-A во внешнюю систему хранения данных (СХД). Контейнер электронных документов представляет собой усовершенствованную до формата CAdES-E-A подпись электронного документа и набор метаданных, описывающих исходный документ.
Модуль обеспечения доказательствами подлинности
Этот модуль, как следует из его названия, предоставляет доказательства подлинности и юридической значимости документов подписанных квалифицированной ЭП. В функции модуля также входят проверка исходной ЭП с использованием «КриптоПро SVS», взаимодействие с компонентами ПАК «Службы УЦ», преобразование исходной ЭП в формат CAdES-E-A, автоматическое обновление юридической значимости ЭП и обеспечение соответствия требованиям законодательства в части использования ЭП.
Когда у последнего сертификата службы штампов времени приближается срок окончания действия, модуль автоматически получает новый штамп времени на существующую ЭП, добавляет его в электронную подпись и устанавливает новую дату обновления доказательств подлинности в контейнере.
АРМ администратора
АРМ администратора позволяет управлять правами доступа, а также обеспечивает настройку всех модулей системы, регистрацию пользователей, мониторинг взаимодействия с информационными системами, отслеживание журналов событий и оповещение пользователей о нештатных ситуациях.
Варианты интеграции «КриптоПро Архива»
Рассмотрим один из вариантов интеграции продукта.
Основным способом взаимодействия с информационными системами служит механизм REST-сервисов по протоколу JSON-RPC.
Система документооборота (или любая информационная система, которая обрабатывает документы подписанные ЭП) вызывает первый метод REST-сервисов. Система передаёт документ и его ЭП в «КриптоПро Архив».
Далее модуль обработки ЭП документов получает документ и подпись. Если подпись присоединена к документу, то происходит её отсоединение. Далее высчитывается хеш-значение полученного документа. Во внешнюю систему сообщается текущий статус обработки.
На следующем шаге модуль обеспечения доказательствами подлинности проводит проверку подписи. Если проверка прошла успешно, то ЭП улучшается до формата CAdES-E-A путём взаимодействия с ПАК «Службы УЦ».
Затем контейнер документа передаётся в базу данных «КриптоПро Архива». Система документооборота может периодически запрашивать контейнер или подпись из базы данных через модуль обработки.
Рисунок 2. Интеграция «КриптоПро Архива», вариант 1
Во втором варианте интеграции на последнем шаге модуль обработки ЭП документов передаёт контейнер во внешнюю СХД, используя интеграцию через плагин.
Рисунок 3. Интеграция «КриптоПро Архива», вариант 2
Системные требования «КриптоПро Архива»
«КриптоПро Архив» — кросс-платформенный продукт, который функционирует на операционных системах CentOS, Debian, Fedora, openSUSE, Red Hat Enterprise Linux, Ubuntu, Astra Linux, Microsoft Windows Server 2012 R2 и выше.
В качестве систем управления базами данных возможно использование PostgreSQL 9.0, MySQL, Oracle DB, Microsoft SQL Server.
В качестве поддерживающей инфраструктуры могут также использоваться виртуальные серверы.
Порядок развёртывания «КриптоПро Архива»
Первоначальная установка и настройка осуществляются с использованием дистрибутива. Дистрибутив можно скачать на официальном сайте «КриптоПро», на странице продукта.
Подробное описание этого процесса доступно в инструкции по установке и настройке, поэтому мы указываем только общий алгоритм, который состоит из пяти основных этапов.
Для установки и настройки программного обеспечения «КриптоПро Архив» требуется:
- Установить базу данных для хранения информации.
- Настроить сервис обработки очередей:
- a. Установить сервис RabbitMq.
- b. Создать в сервисе RabbitMq пользователей для работы «КриптоПро Архива», имеющих права на взаимодействие с API установленного сервиса.
- Установить сервис Elasticsearch.
- Используя инсталлятор, развернуть API приложения «КриптоПро Архив» и API административной панели.
- Настроить работу сопутствующих сервисов «КриптоПро Архива».
Применение «КриптоПро Архива»
Загрузка документа
«КриптоПро Архив» функционирует в связке с другими информационными системами, интегрируясь с ними и предоставляя им необходимый набор методов и сервисов. Для демонстрации сценариев применения предположим, что «КриптоПро Архив» уже интегрирован в какую-либо информационную систему и в этой системе реализован веб-интерфейс для вызова функций «КриптоПро Архива».
На рисунке 4 представлен интерфейс для пользователя, позволяющий загружать новые документы в систему «КриптоПро Архив». В интерфейсе реализованы отдельные поля для загрузки самого подписанного файла и подписи к нему.
Пользователь задаёт название контейнера для учёта в системе и структурное подразделение, передавшее контейнер. Следующим шагом является выбор типа хранения документа: постоянное или временное. В случае если документ необходимо хранить временно, указывается дата окончания хранения. И, наконец, вводится имя пользователя информационной системы, передавшего контейнер документа на временное или постоянное хранение.
Рисунок 4. Интерфейс добавления нового документа в «КриптоПро Архиве»
После заполнения всех полей пользователь информационной системы нажимает кнопку «Добавить», и документ загружается в систему «КриптоПро Архив». Пользователь видит уведомление о том, что документ успешно создан, и получает его уникальный идентификатор. С помощью этого идентификатора можно извлекать необходимую информацию о контейнере документа.
Также пользователь может не загружать сам документ, а указывать ссылку (URL-адрес) на него (вкладка «Добавить ссылку»).
Рисунок 5. Интерфейс добавления нового документа с заполненными данными в «КриптоПро Архиве»
После добавления документа и его подписи последняя проверяется системой «КриптоПро Архив». В случае успешной проверки происходит усовершенствование подписи до формата CAdES-E-A. Создаётся контейнер документа в виде усовершенствованной электронной подписи, хеш-значения документа и его метаданных. Этот контейнер помещается в базу данных «КриптоПро Архива» или интегрированную СХД.
Список документов
Теперь рассмотрим функции администратора системы «КриптоПро Архив».
В панели администратора на вкладке «Список документов» администратор «КриптоПро Архива» видит все загруженные пользователем документы с указанием идентификатора и названия контейнера. Он также может осуществить поиск по названию контейнера, исходной информационной системе, статусу документа.
Рисунок 6. Список документов в «КриптоПро Архиве»
Нажав кнопку «Подробнее», можно просмотреть данные контейнера и архива.
В данных контейнера указываются его название, структурное подразделение и имя пользователя информационной системы, передавшего контейнер, а также дата создания.
В данных архива администратор может увидеть текущий статус контейнера, тип хранения и подробные данные о времени, такие как дата внесения на хранение, дата окончания хранения, дата последнего изменения (дата последней манипуляции с контейнером в системе «КриптоПро Архив»), дата следующего обновления подписи (проставления нового штампа времени согласно сертификату службы штампов времени).
Рисунок 7. Подробная информация о документе в «КриптоПро Архиве»
Также можно просмотреть историю изменений контейнера документа (изменение его статуса в системе), выгрузить новую подпись в виде файла или пометить контейнер как удалённый (при этом сам контейнер из системы не удаляется, данные продолжают храниться, но перестаёт осуществляться мониторинг актуальности его электронной подписи).
Рисунок 8. История изменений контейнера в «КриптоПро Архиве»
Список информационных систем
На вкладке «Список информационных систем» можно просмотреть все информационные системы, интегрированные с «КриптоПро Архивом» для передачи подписанных электронных документов.
Рисунок 9. Вкладка «Список информационных систем» в «КриптоПро Архиве»
Нажав кнопку «Создать», администратор может добавить новую информационную систему, указать её название и задать следующие политики доступа: право поиска документа по метаданным, право загружать новые документы, право изменять метаданные, право помечать документы на удаление, право просмотра данных о документе.
Рисунок 10. Форма для создания информационной системы в «КриптоПро Архиве»
Рисунок 11. Задание параметров для создания информационной системы в «КриптоПро Архиве»
Рисунок 12. Отображение новой созданной системы в списке информационных систем в «КриптоПро Архиве»
Нажав на кнопку «Подробнее» рядом с именем информационной системы, можно получить возможность просматривать всю информацию о ней, а также добавлять новых пользователей системы.
Рисунок 13. Подробные сведения об информационной системе в «КриптоПро Архиве»
Рисунок 14. Добавление нового пользователя в «КриптоПро Архиве»
Мониторинг работы системы
На вкладке «Мониторинг работы системы» отражается состояние работы «КриптоПро Архива».
Вкладка содержит 2 раздела:
- «Логи работы системы» — отслеживание действий пользователя и ошибок системы за определённый промежуток времени.
- «Состояние очередей» — мониторинг очереди загрузки документов по отправленным ссылкам, очереди постановки на архивное хранение, очереди на формирование отчётов (функция построения отчётов на данный момент находится в разработке).
Рисунок 15. Вкладка «Мониторинг работы системы» в «КриптоПро Архиве»
Коллизии
С помощью вкладки «Коллизии» возможно отслеживать документы со статусом «Ошибка обновления доказательств подлинности» и разрешать инциденты, просматривая подробную информацию о документе с этим статусом.
Рисунок 16. Вкладка «Коллизии» в «КриптоПро Архиве»
Выводы
«КриптоПро Архив» является уникальным решением на рынке по своим функциональным и техническим характеристикам. Среди основных функций продукта выделяются подготовка электронной подписи документов к постоянному централизованному хранению, усовершенствование электронных подписей до формата CAdES-E-A для обеспечения юридической значимости документов, контроль сроков действия доказательств юридической значимости документов при их длительном хранении и автоматическое обновление этих доказательств.
Достоинства:
- Кросс-платформенное программное обеспечение с поддержкой различных СУБД.
- Возможность горизонтального масштабирования.
- Поддержка виртуализации.
- Проверка и преобразование исходной электронной подписи в формат CAdES-E-A.
- Интеграция через API со внешними информационными системами.
- Поддержка СХД для хранения обработанных документов и электронных подписей через API.
Недостатки:
- Отсутствие руководств для пользователей системы (на данный момент инструкции для администратора и программиста находятся в разработке).
- Функциональность подготовки и выгрузки отчётов по статусу контейнеров документов и электронных подписей в настоящий момент только разрабатывается.